Il Garante Inglese per la protezione dei dati (ICO) continua a scatenarsi con le sanzioni ed infligge una multa di oltre 99 milioni di sterline (123 milioni di dollari) al gruppo alberghiero Marriott.
Dopo aver inflitto una pesante sanzione alla British Airways, con un’ammenda record di 230 milioni di dollari per una violazione dei dati, l’autorità inglese multa il colosso alberghiero statunitense Marriott.
Il gruppo Marriott è la seconda azienda a vedersi appioppare una corposa multa per non aver rispettato il GDPR .
A seguito di un’indagine approfondita, l’ICO ha emesso un avviso relativo alla sua intenzione di multare il gruppo Marriott International per non aver vigilato a sufficienza sulla tutela dei dati personali dei suoi clienti. Il gruppo alberghiero, che ha subito un data breach lo scorso anno, dovrebbe pagare una multa di oltre 99 milioni di sterline (123 milioni di dollari) .
Nel documento statement of the regulator’s intention to fine Marriott International, il funzionario dell’ICO Elizabeth Denham ha dichiarato:
Il GDPR chiarisce che le organizzazioni sono responsabili dei dati personali in loro possesso. I dati personali hanno un valore reale, per cui le organizzazioni hanno il dovere di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando necessario per proteggere i diritti delle persone.
La violazione riguarda società Starwood Hotels, acquisita da Marriott nel 2016.
Si ritiene che la vulnerabilità sia iniziata quando i sistemi del gruppo Starwood sono stati compromessi già nel 2014 a causa di una falla di sicurezza nei suoi sistemi informatici. Il data breach è stato notificato all’ICO da Marriott nel novembre 2018.
Nel 2018 quindi è stata scoperta una perdita di dati che perdurava già dal 2014.
Le informazioni rubate sono tantissime, si parla di 339 milioni di record dei clienti, e riguardavano nomi e cognomi, indirizzi email, numeri di telefono, numeri di passaporto, date di nascita, codici di prenotazione nonché numeri di carta di credito e date di scadenza.
L’indagine dell’ICO ha rilevato che, quantunque Marriott di fatto ereditò la falla di sicurezza acquisendo Starwood, non ha poi intrapreso sufficienti azioni per tutelare adeguatamente i dati dei numerosi clienti dopo l’acquisizione dell’azienda e avrebbe dovuto fare di più per proteggere i suoi sistemi.
Marriott ha il diritto di rispondere ed intende farlo difendendo vigorosamente la sua posizione. Il presidente e amministratore delegato di Marriott International, Arne Sorenson, ha dichiarato: Siamo delusi da questo avviso da parte dell’ICO, che contesteremo. Marriott ha collaborato con l’ICO durante le sue indagini sull’incidente, che ha comportato un attacco criminale contro il database di prenotazione degli ospiti Starwood. Inoltre ha aggiunto:
Siamo profondamente dispiaciuti che questo incidente sia accaduto. Prendiamo molto sul serio la privacy e la sicurezza delle informazioni degli ospiti e continuiamo a lavorare duramente per soddisfare gli standard di eccellenza che i nostri ospiti si aspettano da Marriott.
Il database di prenotazione degli ospiti Starwood che è stato attaccato non è più utilizzato per le operazioni aziendali.
Aggiornamento al 30 ottobre 2020
L’ ICO ha confermato la sanzione alla società Marriott International Inc per non aver protetto adeguatamente i dati personali dei clienti. La multa in misura ridotta è di 18,4 milioni di sterline.
Poiché la violazione è avvenuta prima che il Regno Unito lasciasse la UE, l’ICO ha indagato per conto di tutte le autorità per la protezione dei dati della UE in qualità di autorità di controllo principale ai sensi del GDPR. La sanzione e l’azione sono state approvate dalle altre autorità attraverso il processo di cooperazione del GDPR. Nel luglio 2019, l’ICO ha emesso a Marriott un avviso di intenti di sanzione. Nell’ambito del processo di regolamentazione, l’ICO ha preso in considerazione le rappresentanze di Marriott, i passaggi adottati da Marriott per mitigare gli effetti dell’incidente e l’impatto economico di COVID-19 sulla propria attività prima di stabilire una sanzione finale.
Dettagli dell’attacco informatico
Nel 2014, un utente malintenzionato sconosciuto ha installato un pezzo di codice noto come “web shell” su un dispositivo nel sistema Starwood, grazie al quale ha potuto accedere e modificare i contenuti di questo dispositivo da remoto. Tutto questo è stato sfruttato per installare malware, consentendo all’aggressore di avere accesso remoto al sistema come utente privilegiato.
Ulteriori strumenti sono stati poi installati dall’autore dell’attacco per raccogliere le credenziali di accesso degli utenti aggiuntivi all’interno della rete Starwood. Con queste credenziali, l’aggressore è riuscito a esportare il database che memorizza i dati delle prenotazioni dei clienti Starwood.
L’ICO riconosce che Marriott ha agito prontamente per contattare i clienti e l’ICO. Ha inoltre agito rapidamente per mitigare il rischio di danni subiti dai clienti e da allora ha avviato una serie di misure per migliorare la sicurezza dei suoi sistemi.